À mesure que les entreprises s’appuient de plus en plus sur les technologies et les services d’IA, les techniques des attaquants vivant de la terre ont évolué pour en abuser.
Les attaquants commencent à exploiter les systèmes d’IA pour monter des attaques de la même manière qu’ils s’appuyaient autrefois sur des outils d’entreprise intégrés tels que PowerShell.
Au lieu de s’appuyer sur des logiciels malveillants, les cybercriminels abusent de plus en plus des outils d’IA dont dépendent les entreprises – une tendance que certains experts décrivent comme vivant de l’IA.
« Nous le constatons par exemple par des serveurs MCP empoisonnés dans la chaîne d’approvisionnement, des attaquants utilisant des modèles légitimes comme Claude pour extraire des données sensibles, et même des agents viraux comme OpenClaw provoquant accidentellement des actions destructrices », explique Kaushik Shanadi, CTO chez Helm Security, une startup axée sur la sécurisation des communications agentiques par l’IA. « Le problème est que la plupart de ces systèmes ont été déployés avant que quiconque ne réfléchisse à la gouvernance ou à la sécurité. »
« Les attaquants n’essaient plus seulement de tromper un chatbot ; ils vivent du monde de l’IA, en abusant des mêmes fonctionnalités légitimes d’automatisation et de mémoire qui rendent les assistants IA utiles », déclare Pascal Geenens, vice-président du renseignement sur les cybermenaces chez l’éditeur de cybersécurité Radware.
Vous trouverez ci-dessous quelques exemples de la manière dont les attaquants détournent les services basés sur l’IA pour organiser des attaques.
Usurpation d’identité du serveur MCP
En septembre 2025, des attaquants ont fait la promotion d’une contrefaçon de serveur MCP (Model Context Protocol) imitant la technologie pour intégrer Postmark, un service de messagerie transactionnelle appartenant à ActiveCampaign, dans les assistants IA.
Le faux package de serveur MCP semblait légitime et fonctionnait comme un outil légitime sur 15 versions avant qu’un changement de code sur une seule ligne ne soit introduit, ce qui signifiait que les communications sensibles (réinitialisations de mot de passe, factures, mémos internes) étaient silencieusement siphonnées pendant des jours avant que le piratage ne soit détecté.
Le package malveillant, qui attirait 1 500 téléchargements par semaine sur le populaire registre de packages node.js, exposait les entreprises qui comptaient sur l’outil à une forme d’attaque de la chaîne d’approvisionnement.
« C’est l’équivalent en IA du squattage de noms d’un registre de packages, sauf qu’il n’y a aucune autorité MCP centrale vérifiant l’identité du serveur et aucun lien cryptographique entre un serveur MCP et l’organisation qu’il prétend représenter », explique Brad Micklea, PDG de Jozu, une plateforme de sécurité IA et MLOps. « Cela brise le modèle de confiance avant le déploiement du MCP. »
Les serveurs MCP – qui permettent aux agents d’IA et aux chatbots de se connecter à des sources de données, des outils et d’autres services – sont récemment devenus la cible d’attaques malveillantes variées (par exemple contre le navigateur intégré de Cursor) et soutenues. Verrouiller ces systèmes pour minimiser les risques est devenu une priorité pour les RSSI d’entreprise.
« Ces serveurs exposent des outils, de la mémoire et des API aux agents d’IA afin qu’ils puissent effectuer des tâches », explique Zahra Timsah, PhD, PDG d’i-GENTIC AI, une plateforme de gouvernance d’IA agentique. « Si un attaquant insère un outil empoisonné, un connecteur modifié ou une source de récupération malveillante dans cette chaîne, l’agent IA peut l’exécuter sans le savoir. »
Abuser des plateformes d’IA comme canaux C2 secrets
Les cybercriminels exploitent également les plateformes d’IA comme canaux secrets de commande et de contrôle (C2) en transformant les services d’IA en proxys qui cachent le trafic malveillant dans le flux de contenu légitime.
Au lieu d’exécuter un serveur C2 dédié, les logiciels malveillants sont programmés pour récupérer des commandes et exfiltrer des données via des services d’IA, contournant ainsi les contrôles de sécurité traditionnels.
Par exemple, la porte dérobée SesameOp masquait le trafic de commandes au sein de l’API OpenAI Assistants, camouflant les instructions destinées aux logiciels malveillants comme une activité normale de développement d’IA.
Il s’agit là d’un exemple loin d’être isolé et les risques d’abus sont nombreux.
Par exemple, Check Point Research a démontré comment Microsoft Copilot et Grok pouvaient être manipulés via leurs interfaces Web publiques pour récupérer des URL contrôlées par des attaquants et renvoyer des réponses. Ce comportement ouvre la porte à des abus des systèmes d’IA sans nécessiter de clé API ou de compte authentifié.
Empoisonnement des dépendances dans les workflows d’IA
Plutôt que d’attaquer directement un système d’IA, certaines attaques reposent sur l’empoisonnement des dépendances en aval sur lesquelles s’appuie un agent pour le traitement des données.
Dans un cas, un package NPM compromis a été injecté dans la chaîne de dépendances d’un flux de travail agent.
« Cela reflète les attaques classiques de la chaîne d’approvisionnement (par exemple SolarWinds), mais une dépendance empoisonnée dans un pipeline agent ne fait pas que fuir des données – elle peut altérer la prise de décision, la sélection d’outils ou le résultat de l’agent sans aucune anomalie visible », explique Micklea de Jozu.
Agents doubles
Certains attaquants exploitent les vulnérabilités des agents plutôt que d’abuser des composants de l’infrastructure informatique existante d’une entreprise.
Par exemple, la vulnérabilité d’injection de commande « EchoLeak » dans Microsoft 365 Copilot (CVE-2025-32711) montre qu’un seul e-mail contenant des instructions d’injection d’invite masquées suffit à forcer l’assistant IA à exfiltrer les fichiers internes et les e-mails vers un serveur externe sans interaction de l’utilisateur.
Une série de vulnérabilités (telles que CVE-2026-25253) dans OpenClaw, le populaire assistant personnel d’IA open source, a créé une route permettant à un site Web malveillant de prendre le contrôle total de l’agent d’IA du développeur.
« Plus de 21 000 cas de ce type ont été détectés, et les chercheurs ont en outre observé que 12 % du marché des compétences pour la plateforme OpenClaw distribuait des logiciels malveillants », explique le Dr Suleyman Ozarslan, vice-président de Picus Labs chez Picus Security, spécialiste de la simulation de violations et d’attaques.
Les chercheurs en sécurité de Varonis ont découvert une attaque contre Microsoft Copilot Personal qui contournait les protections intégrées de l’IA simplement en demandant deux fois des données sensibles.
La vulnérabilité Reprompt – qui a effectivement transformé Microsoft Copilot en un outil d’exfiltration de données – a été signalée à Microsoft, qui a répondu en publiant un correctif.
Campagnes d’espionnage orchestrées par l’IA
Anthropic a surpris des acteurs malveillants abusant de Claude Code pour gérer des tâches opérationnelles dans le cadre d’une campagne de cyberespionnage en septembre 2025.
Un groupe présumé parrainé par l’État chinois et désigné GTG-1002 a utilisé Claude Code pour exécuter 80 à 90 % des opérations tactiques de manière indépendante, à des taux de demande physiquement impossibles pour les opérateurs humains.
Les attaquants ont abusé des capacités agents de l’IA de Claude Code pour automatiser le processus de création de scripts, de recherche de cibles, de création d’outils d’attaque et d’autres fonctions.
« Les attaquants ont décomposé leurs opérations en milliers de petites tâches individuellement inoffensives, combinées à un cadrage de jeu de rôle qui a convaincu le modèle qu’ils opéraient dans le cadre d’une évaluation de sécurité légitime », explique Yagub Rahimov, PDG de la startup de cybersécurité Polygraf AI.
Création de plates-formes modulaires d’IA black-hat
Le paysage des menaces est passé de l’abus des chatbots à la création de piles d’IA dédiées et armées comme Xanthorox AI.
Contrairement aux LLM à usage général, Xanthorox est une plate-forme offensive spécialement conçue pour la cybercriminalité. La plate-forme comprend des modules pour des fonctions telles que la génération de logiciels malveillants et les exploits de vulnérabilités.
« L’intégration du Hexstrike AI Model Context Protocol (MCP) permet à Xanthorox d’aller au-delà du simple piratage « assisté » dans le domaine des systèmes d’agents entièrement autonomes, en le déplaçant vers le domaine du « piratage vibratoire » », explique Geenens de Radware. Hexstrike est un cadre de sécurité offensif open source alimenté par l’IA, initialement conçu pour les tests d’intrusion éthiques.
Vérifier la livraison
Zbyněk Sopuch, CTO du fournisseur de cybersécurité Safetica, affirme que de nombreux attaquants ne se contentent plus d’exploiter les vulnérabilités logicielles, préférant plutôt exploiter la confiance que les organisations placent dans l’IA.
« Cela signifie que les équipes de sécurité doivent traiter les assistants IA exactement de la même manière qu’elles traitent les utilisateurs humains privilégiés : avec un contrôle strict, une surveillance spécifique et, surtout, ne jamais présumer que quiconque ou quoi que ce soit soit en sécurité », conclut Sopuch.
